Obtaining Information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operating System

Sunday, July 31, 2011 Posted by Corey Harrell 0 comments
When I approach an analysis I perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same initial steps to shed light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system under examination. The first step is to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 master boot record and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second step is to obtain general information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system and its configuration. The impact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information on a digital forensic analysis can be significant.

Quick note before anyone takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. My post doesn’t offer any new information. The registry keys referenced are well documented and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automation of Regripper is not new. I find it helpful to see how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysts use tools and I thought ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs may feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way. My post demonstrates how Regripper can be automated in a batch file to reveal general information about a system; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby saving some time when completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring examination step.

RegRipper is an open source tool for extracting data stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry. When reviewing Regripper’s output I reference a document I created (outlines various artifacts) which allows me to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from registry keys in a specific order. I never thought twice about reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output like this since I was only getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. A couple of weeks ago I was going through Regripper reports when it dawned on me that I should automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. Create one report showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys in a specific order. I wrote a small batch script to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system information report. If you just want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, you can keep reading to see my thought process of how I put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r before checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. The script organizes information into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following five categories: general operating system information, user information, software information, networking information, and storage locations.

Thought Process behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Batch File

        General Operating System Information

The first category has a significant impact on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination is conducted since it contains information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system such as version, timezone settings, and machine security identifier (SID). The operating system version will dictate where certain artifacts are located and what tools can be used while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timezone settings should be self explanatory. The machine security identifier comes into play when looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts’ SIDs since it shows if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local or remote system. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category’s information of interest and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data:

* Operating system version and product name (HKLM\Software\Microsoft\Windows NT\Currentversion\)

* Registration information for owner and organization entered during installation (HKLM\Software\Microsoft\Windows NT\Currentversion\)

* Machine Security Identifier (SID) (HKLM\Security\Policy\PolAcDms)

* Shutdown information (HKLM\System\Controlset###\Control\Windows)

* Timezone information (HKLM\System\Currentcontrolset\Control\Timezoneinformation)

* Auditing configuration (HKLM\Security\Policy\PolAdtEv)

* Determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTFS last access time is set to not to update (HKLM\System\CurrentControlSet\Control\Filesystem\NtfsDisableLastAccessUpdate)

        User Account Information

The next category obtains information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user accounts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. The information includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configured local user accounts and groups as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user accounts (such as Windows domain users) logging onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The category can help focus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity of specific user accounts. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category’s information of interest and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data:

* Configured local user accounts and groups (HKLM\SAM\Domains\Account\)

* User profiles on machine and registered with Windows (Profilelist registry key)

* Logon username of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specified user account (HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer)

* Previous user accounts to log onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine (HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon\Defaultusername and HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon\Altdevaultusername)

        Software Information

The software category obtains information about programs installed and executed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. Knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software on a system can help shed light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential data available. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination is interested in locating financial files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software category will reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial programs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant file types. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information of interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data:

* Programs showed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Add/Remove Programs control panel applet (HKLM\Software\Microsoft\Windows\Currentversion\Uninstall)

* File system paths to various programs (HKLM\Software\Microsoft\Windows\Currentversion\App paths)

* Information about installed products (HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData)

* Default web browser (one area to check is HKLM\Software\Classes\HTTP\shell\open\command)

* User specific software (HCU\Software)

* User activity via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Explorer shell may show programs ran (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist)

* Executables associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account (XP is HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache and Vista/7 is is HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache in userclass.dat)

        Networking Information

The next category obtains information about networking such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer’s name, network shares, and firewall settings. The majority of computers are connected to some sort of network and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in this category helps explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of network cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system came from. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information of interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data:

* Computer name (HKLM\System\Currentcontrolset\Control\Computername)

* Domain and hostname (HKLM\System\Currentcontrolset\Services\Tcpip\Parameter)

* Configured network shares on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer (HKLM\System\Currentcontrolset\Services\Lanmanserver\Shares)

* Configured persistent routes (HKLM\System\ControlSet###\Services\Tcpip\Parameters\PersistentRoutes)

* Firewall configuration (HKLM\System\Currentcontrolset###\Services\Sharedaccess\Parameters\Firewallpolicy)

* Networking information (HKLM\System\Currentcontrolset###\Network)

* Cache of computers seen by Windows Explorer (HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Computerdescriptions)

        Storage Location Information

The last category obtains information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential storage locations for user data. The category can reveal additional devices or folders that may contain data of interest. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of Window systems I’ve seen in a corporate environment belong to a Windows domain where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT departments have users store information on servers instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own computer (for backup purposes). One method used is to redirect certain folders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account’s profile – such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 My Documents- to a folder on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. The storage location information category will quickly highlight this type of configuration. The following is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information of interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry keys containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data:

* Devices and volumes mounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer (HKLM\System\MountedDevices)

* Location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account profile folders (HKCU\Software\Microsoft\Windows\Currentversion\Explorer\User shell folders)

* Map network drives available to a user (HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Map network drive MRU)

* Volumes mounted by a user (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2)

Putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Batch File Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r

Putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r was fairly simple since I already outlined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I wanted presented and Regripper had plug-ins to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry. The batch file repeats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three lines for each Regripper plugin to create one report about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system and how it’s configured.

echo: >> operating_system_information.txt
rip.exe -r "%regpath%\SECURITY" -p polacdms >> operating_system_information.txt
echo .........................................................................................................>> operating_system_information.txt

The two lines starting with echo are for formatting purposes. The echo: inserts a blank line in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating_system_information.txt while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r echo command inserts a line of dots to separate each Regripper plug-in. Rip.exe is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commandline version of Regripper and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two options. The –r specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hive and –p specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug-in to run. The variable %regpath% gets populated with a prompt for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder path containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hives.

The batch file gets put in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Regripper folder and gets executed by double clicking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file. Three screenshots show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script against an image mounted with FTK imager.

Prompt for folder containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hives

Asks to parse user's registry hive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n prompts for its folder location

Regripper parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry hives and creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report

Portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software and Networking Information categories

The information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report doesn’t include everything that I’d want to know over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 span of an examination but it does provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system and how it’s configured. Automating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process makes me a little bit more efficient when I’m completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination step.

I uploaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 batch file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jIIr Google site and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file can be downloaded here (to execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file extension from txt to bat).

Examining IRS Notification Letter SPAM

Wednesday, July 20, 2011 Posted by Corey Harrell 2 comments
A forensicator lives on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th floor of a building. Every morning he rides down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elevator to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground floor and leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building to go to his forensic lab. Every night he comes home after spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day finding evil and gets on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elevator. If it was raining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n he takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elevator to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th floor. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is good cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n he takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elevator to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th floor and walks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th floor using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stairs. Why does he do this?

The forensicator in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elevator is an analogy to a malware infected system. Trying to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above riddle cannot be done without looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man in his environment (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building). Picturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensicator in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building and everything that is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elevator will shed light on to question of why he takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stairs. This is similar to answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question of how malware infected a system. The question can’t be answered without looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in its environment (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affected system) and examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware appeared. Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 antivirus write-ups as an example. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups (I’ve read) analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment where it was located. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups provide vague information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial infection vector used such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement “distributed through spam campaigns and drive-by downloads, though given its versatility, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vectors may also be utilized”. The description doesn’t shed much light on how a specific system became infected since pretty much all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bases are covered (SPAM, drive-bys, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r method). If you have ever wondered what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts are of malware being delivered through SPAM cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of this article will be of interest.

Someone was nice enough to send me a SPAM email last month (sarcasm doesn’t come off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 some way as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spoken word). The SPAM was a mass mailing so I was probably just one recipient out of thousands but at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email gave me something to analyze. The examination of this email will first explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user’s actions followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR practitioner’s examination.

Accessing Email

        User Perspective

The user fires up a web browser to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email. Internet Explorer loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home page before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user navigates to Yahoo email. A few emails are checked before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user comes across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message below.


The user overlooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indications that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email is SPAM such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misspellings, punctuation errors, and even a run-on sentence (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below to see what was missed). They proceed to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notification letter alerting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to some kind of issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tax return.

      
        DFIR Perspective

The forensicator was slowly making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way through a system timeline when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was activity involving Internet Explorer. There were modifications made to few Internet Explorer folders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator user account’s profile and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account visited a Microsoft’s webpage.


After weeding through all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web activity related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft webpage he noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user went to Yahoo’s webpage and accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir webmail.


The browser history and cache showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user spent some time using Yahoo email.

Opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Email Attachment

        User Perspective

Worried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might be an issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tax return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user decides to open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email attachment. The user felt more comfortable opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment since Norton Antivirus indicated it was virus free.


The attachment doesn’t initially open a document but instead opens a new window showing a file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name IRS document.exe. Even though file extensions weren’t hidden by Windows Explorer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user didn’t notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exe extension since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were too distracted worrying about not receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tax refund.


        DFIR Perspective

The Internet activity indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was still accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Yahoo email when an entry at 06/20/2011 22:10:00 showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user downloading a zip file.


The file IRS%20document[1].zip was created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folder \Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M20M2OXX\ one second after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser entry made a reference to a zip file in Yahoo email.

Aftermath of Accessing Email Message

        User perspective

The user double clicks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file named “IRS document.exe” thinking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of missing documents but nothing visually occurs. A document doesn’t open, no error messages popup, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of missing documents isn’t shown. The user closes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment’s Explorer window at 06/20/2011 10:22 and continues surfing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user perspective ends. The story tried to illustrate how someone could be tricked into opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attachment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAM email.

        DFIR perspective

The forensicator continued to work his timeline when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a flurry of activity involving executables. The first artifact was a prefetch file for a program - IRS document.exe - (MD5 hash 77065d6545b0226ccf66ce75d5254bfa and link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report) that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable inside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zip attachment. 10 seconds later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows svchost.exe executable ran before two additional malware were dropped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The malware was PUSK3_~1.EXE (MD5 hash 541c25d26e8b1eb2d1a35cd52854650f and link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report) and tmp75D5.tmp (MD5 hash 4bda47a91bea4ceccc6003a46aeb754d and link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirusTotal report). The executable activity is shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture below.


The forensicator tied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRS document.exe and pusk3.exe to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator account by finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account’s MUICache registry key.

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temporary Directory 1 for IRS%20document[1].zip\IRS document.exe (IRS document)
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pusk3.exe (ProcFeatures)

The last artifact pointing to a zip file occurred at 06/20/2011 10:22 and it was modifications being made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU registry key. A summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BagMRU registry key is provided below.

* Bag: 9
* Registry Key modification Time [UTC]: 06/21/11 02:12:22.734
* Folder Name: IRS%20document[1].zip
* Full Path: Desktop\{CLSID_MyComputer}\C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M20M2OXX\IRS%20document[1].zip\

Summary

The artifacts of malware being delivered through SPAM consisted of a user accessing email and opening a file around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. These artifacts hold true for malware being delivered via email even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances are different. At one point I examined an infected system which didn’t involve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRS notification letter SPAM or web email. The activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system showed emails were assessed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time a zip file was opened which happened just before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first piece of malware appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity (and lack of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activity such as a drive-by download) lead me to conclude cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a malicious email attachment. The specific artifacts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examination varied slightly compared to what was discussed in this article but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general overall artifacts (email and file access prior to malware appearing) remained consistent.

Only examining malware from a system may not indicate email was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vehicle used deliver it. This is similar to antivirus write-ups about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of malware which leave out information about how a specific computer became infected. The same line of thinking applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 well known but slightly modified riddle at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post. The riddle can’t be answered by solely analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man outside of his building. Sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis will reveal a lot of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man but it won’t explain why he is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th floor of his building. The man needs to be analyzed in his building and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity that occurred prior to him reaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th floor should be reviewed. Trying to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 riddle in this manner will reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer of why he walks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stairs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th floor. The guy is too short to press cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th floor elevator button and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest he can reach - without an umbrella - is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th floor button. Like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 riddle, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity on a system preceding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware should be analyzed to determine if an email, drive-by, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means was used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery.

Google cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Incident Detector

Wednesday, July 6, 2011 Posted by Corey Harrell 1 comments
Search engines are not only great tools for locating information across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can alert organizations of potential security incidents. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have already published methods on how to use search engines to locate information including web pages infected with SPAM links and common vulnerabilities. In addition to this information, search engines can help determine if a company's data has been stolen. Google queries and alerts can be leverage to assist organizations with noticing security issues such as data leakage, website vulnerabilities, and stolen information. This post will discuss an approach of using Google to search and monitor portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet for specific security issues.

Search Company’s Website for Security Issues

The term Google hacking refers to when search engine - such as Google - is used to locate weaknesses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. This is accomplished by building queries a specific way to locate sites containing software vulnerabilities, misconfigurations, or sensitive information. The same technique can be used by organizations to identify security issues on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own websites. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific issues are will be dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization but two possibilities are sensitive information and infected web pages.

     Sensitive Information

The business dictionary defines sensitive information as any information if compromised “could cause serious harm to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization owning it”. Numerous types of data fit into this definition but three examples are: personally identifiable information (PII), credit card information, and network information.

PII can uniquely identify or locate a single person, and PII includes social security numbers, date of births, and addresses. A data breach from a few months ago illustrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of PII being compromised. The personal information (names and social security numbers) of 300,000 people who applied for California workers' compensation benefits were mistakenly exposed online. As reported, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised PII was discovered last month after a data security company located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data through automated Google searching. The combination of breaches being reported in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various data breach notification laws, it stands to reason that organizations should monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Internet facing sites for exposed PII. The Google queries below may locate information for social security numbers, birthdays, or contact information for specific websites.

ssn | “social security number” site:domain-name-here
dob | “date of birth” site:domain-name-here
“phone * * *” | “address *” | “e-mail” site:domain-name-here

The above queries contain a few symbols needing explnations. The pipe symbol ( | ) means “or” and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query will return hits if eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r term is present. The quotes ( “” ) mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of words has to match exactly while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asterisk symbol ( * ) is a wildcard and can represent any unknown terms. Site: makes Google only search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 websites containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specified domain (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query would contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization’s domain instead of “domain-name-here”). For additional information on syntax for Google queries check out Basic Search Help and More Search Help.

The company Blippy exposed data containing credit card numbers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. A few months later a company discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card numbers of four Blippy's users were in Google's index. In addition to PII, organizations could monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Internet facing websites for data related to credit card information. The Google queries below may locate information related to credit cards and amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information could be card numbers.

expiration | expdate | expire site:domain-name-here
CVV2 site:domain-name-here

Sosata.com (a Groupon subsidiary) accidently published a database containing email addresses and plain-text passwords of 300,000 users which was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n indexed by Google. The accident was discovered after a security consultant located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposed information on Google. Network information such as passwords, usernames, login pages, and errors can assist outside parties in attacking an organization. Companies can monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir websites for leaked network information that may pose a risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network security. The Google queries below may locate: login pages, usernames, passwords, and errors.

login | logon site:domain-name-here
username | userid | employee.ID | “your username is” site:domain-name-here
password | passcode | “your password is” site:domain-name-here
intitle:error site:domain-name-here

     Infected Web Pages

The University of Calgary’s website was compromised and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website to help sell pharmacy products. The Sucuri Research blog performed a Google search against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s website and was able to identify more than two thousand infected web pages. The compromise illustrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point made by Unmask Parasites which was “to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir doorway pages rank better in search engines, spammers search for compromised web sites and use various security holes to insert hundreds of hidden spam links into trusted web pages”. Companies should add infected web pages to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of what to monitor on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir websites.

Google queries can identify infected web pages. The Unmask Parasites blog has a list of queries which can be used as a starting point for searching for SPAM links. In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unmask Parasites list, additional terms can be identified by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog’s Find Infected Pages with Google to locate infected web pages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. The portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected web page displayed by Google can reveal ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r terms to use in a SPAM link query. The picture below shows an infected web page with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search terms used highlighted in bold.

Search Specific Websites for Stolen Information

The previous Google queries can help organizations identify sensitive information and infected web pages on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own websites. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queries won’t alert an organization to a compromise resulting in company information being stolen. A Naked Security article reported how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atlanta Infragard chapter was compromised and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers “published 180 usernames, hashed passwords, plain text passwords, real names and email addresses”. How can a company feel confident that none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir employees’ information was compromised? Applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same question to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publicize data breaches over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year makes it even more difficult for a company to know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are at risk. Google searches can help by querying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 websites where stolen information is published.

One website with stolen information is Pastebin.com. Lenny Zeltser had a great article - The Use of Pastebin for Sharing Stolen Data – explaining what pastebin is and why hackers are using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site to share stolen information such as network configuration details and aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication records. Briefly reviewing Pastebin’s Trending Pages web page shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a range of information available from compromised credentials to identified vulnerabilities in websites. Organizations can search Pastebin.com to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network is at risk because of stolen information. The Google query to accomplish is

site:pastebin.com +domain-name-here

The plus symbol ( + ) attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain name makes Google match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain exactly as it is typed. Pastebin is one example of a website to search but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sites, such as forums, should be queried as well. A few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r potential websites to search are mentioned in Lenny’s post Using Pastebin Sites for Pen Testing Reconnaissance.

Automate Searching with Google Alerts

The previous Google queries will identify sensitive information, infected web pages, and stolen information currently in Google’s index or cache. To continuously monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet for this type of information an organization would need to periodically perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queries to see if new information was added to Google’s index. Google alerts send email updates of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Google results based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specified query and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts can hep organizations with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous queries can be configured as alerts and it's a fairly simple process to setup it up as can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot below.

There are five required fields in setting up an alert.

* Search term: is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query is placed
* Type: specify everything, news, blogs, realtime, video, or discussions websites
* How often: indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email updates and can be set to as it happens, once a day, or once a week
* Volume: will show only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best results or all results
* Your email: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email address where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest relevant Google results are sent

Summary

Google queries show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information currently in Google’s index and cache while Google alerts send email notifications when Google is returning new information. The combination of queries and alerts can be leverage by organizations to identify security issues such as data leakage, website vulnerabilities, and stolen information. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data breaches referenced had two things in common. The first commonality was sensitive company information was exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. The second commonality was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies were notified about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data leakage after a third party located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information through Google searches. The approach of using Google to search and monitor portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet won’t prevent security issues from occurring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach may reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time that lapses before an organization knows about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security issue.

My hope is at least a few people / organizations find this post helpful. It wasn’t my plan to write about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leakage of sensitive information (actually I was working on my next post Examination of a Phishing Email) but I wanted to inform ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of leaked information.


References

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queries I mentioned were obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Google Hacking for Penetration Testers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Hacking Database.
Labels: ,